La falta de la Autoridad Independiente reduce la protección del informante de corrupción en España

Al cumplirse el pasado 2 de octubre los cien primeros días de la entrada en vigor de la ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, el desarrollo de la norma está siendo gradual. Desde el pasado 13 de junio las empresas de más de 250 trabajadores deben contar con ese canal de denuncias como sistema de información.

En este contexto, las empresas no sólo crean la normativa básica que exige la ley sino material o manual interno para saber gestionar este tipo de cuestiones. Además, las empresas a partir 50 trabajadores pero menos de 250 tienen de plazo hasta el 1 de diciembre para contar con esos canales de denuncia como sistemas de información.

Los expertos consultados por Economist & Jurist creen que la norma podría haber sido mejor redactada para evitar las distintas lagunas interpretativas que genera. La falta de la Autoridad Independiente de Protección al Denunciante es un lastre importante para asegurar que dichos informantes o denunciantes estén protegidos realmente.

También son conscientes que el Gobierno no ha hecho una campaña de difusión sobre la norma, con lo cual hay una parte importante de la población que no conoce de su existencia. Se ha hecho el trámite de trasponerla porque nuestro país iba a asumir en este segundo semestre la presidenta de la UE de ahí que se aprobará pocos meses antes de asumir dicha responsabilidad institucional.

Un corta y pega de la directiva

Joan Linares es el director de la Agencia Valenciana Antifraude, que se crea en 2017 tras la ley valenciana que le ampara y que crea el Estatuto de Protección al denunciante. “Nuestro país tarda un año en trasponer la directiva whistleblowing del 2019 que viene a cubrir un vacío porque en el ámbito laboral y otros escenarios no hay normas de protección. Al final el legislador ha hecho copia y pega de la propia directiva”.

Joan Linares, director de la Agencia Valencia Antifraude. (Foto: Agencia Valenciana Antifraude)

Desde su punto de vista, “esa trasposición es poco ambiciosa. Nos hubiera gustado que la ley 2/2023 hubiera establecido mecanismos mucho más concretos en estas protecciones. Es una declaración de principios donde algo positivo es que define que las denuncias pueden ser anónimas. Es la parte más importante que aporta la ley. Nuestra ley valenciana en lo que no contradiga a la estatal sigue vigente”.

Sin embargo, afirma que “nos preocupa la futura Autoridad Independiente de Protección al Denunciante que no se ha creado y con la situación de interinidad de este Gobierno actual parece que aún tardará un poco más. Es una autoridad que estará adscrita al Ministerio de Justicia para ser nombrada por el Consejo de Ministros. Creemos que esta institución debería ser independiente completamente y que rindiera cuentas al Parlamento”.

A su juicio, también hay otro problema de esta entidad por su vinculación al Poder Ejecutivo “y es que esta Autoridad no tiene capacidades de investigación, por el momento la ley no permite que haga estas tareas. Sin embargo, a nivel empresarial, disponen de sistemas internos de información o las administraciones tienen una parte de instrucción de la investigación, de ahí que tienen seis meses para resolver sobre esos asuntos. Por su parte, esta Autoridad Independiente tiene tres meses para decidir donde envía la denuncia, tras verificar la misma “.

A partir de ahí “aparecen una serie de organismos preexistentes que se incluyen en el órgano asesor que la ley soporta donde está el Tribunal de Cuentas; la CNMC, el Banco de España, la Agencia Tributaria, a los cuales se les encomendará la investigación en función de las características de dicha denuncia que remita dicha Autoridad. Que esta Autoridad no haga el seguimiento e investigación de esa denuncia genera una separación entre la persona protegida y los órganos que se van a investigar. Una separación que no parece buena, en principio”.

Estas disfunciones “alejan el modelo estatal de protección del que impulsan las agencias autonómicas. Cualquiera de las que existe tiene la potestad de abrir un expediente de investigación dentro de cada entidad. Y al mismo tiempo tienen capacidad de proteger a la persona denunciante, aquí denominado informante, con potestad sancionadora. Estas entidades pueden impulsar la parte sancionadora de esta ley 2/2023”.

Respecto a la protección al denunciante “de momento no hay protección porque no se ha creado esta Autoridad Independiente de la que estamos hablando. Hemos superado todos los plazos que la UE le dio a España. Primero un año en trasponer la ley, lo que la UE exige a nuestro país es que esté vigente plenamente la directiva europea 2019/1937 y en España no está vigente, porque la ley que no traspone está a medias”.

En estos momentos esta protección no está operativa “salvo en los territorios con sus leyes propias como son los casos de la Comunidad Valenciana y Andalucía. También sabemos que Baleares tiene dos personas protegidas porque aplica la ley 2/2023 y en el caso de Cataluña hay un acuerdo del Parlamento catalán que le habilita como autoridad de la ley 2/2023”.

Una norma poco clara

Francisco Bonatti, socio director de Bonatti Penal, presidente de INBLAC y secretario de ASCOM, también cree que la trasposición de la directiva al modelo español legislativo es deficiente. “La directiva se centra en la comunicación, en cambio la norma ha mezclado con poca fortuna la directiva con la creación de un sistema de gestión interno con un responsable que es lo que está mal hecho. Donde más problemas hay es en el responsable del sistema de información, del que la directiva no habla, el cómo configura la protección al informante que no se meten”.

Francisco Bonatti, socio director de Bonatti Penal. (Foto: Bonatti Penal)

También señala que “está muy regulado el contenido del canal de denuncias, pero poco definido el contenido de la investigación porque da la impresión de que todas las investigaciones internas deben hacerse dentro de ese sistema y eso es imposible. En el fondo, el canal debe servir para saber si esa información debe investigarse o no y a partir de ahí qué se debe investigar, ésta se manda al órgano que tenga que investigar y la saco del sistema interno. No podemos olvidar que esa ley quiere proteger al informante por encima de todo. Hay muchos conceptos que se mezclan y que no quedan claros”.

Desde su punto de vista, “la ley ha querido ir más allá que la directiva y regularlo como un sistema interno dentro de la organización y una serie de roles que no se entienden. Se ha hecho mal. Los artículos de la norma son imprecisos y cortos y no tienen un desarrollo reglamentario. Al mismo tiempo, al no haber una Autoridad Independiente que interprete la norma como la CNMV, o el Banco de España, las empresas se han encontrado con una norma imprecisa sin su Autoridad principal y sin ese desarrollo reglamentario como lo hay en la normativa de prevención de blanqueo. Sería impensable que en el 2018 se creara el RGPD si no existiera la AEPD en ese momento”.

Respecto a la protección al denunciante “sin esa Autoridad Independiente la protección brilla por su ausencia. Depende en estos momentos de la buena voluntad de las empresas. La gran mayoría de empresas son estatales, por lo que las autoridades autonómicas poco pueden proteger porque dichas compañías trabajan en toda España de ahí la complejidad. Es difícil que tal y como está la ley proteja a los informantes en la actualidad”.

Desde su punto de vista, “el frente más delicado es el laboral, porque puede ser muy problemático, sobre todo en los despidos donde las empresas deberán de comprobar que no despiden a denunciantes, porque en ese caso se verían abogadas a un despido nulo, con sanción y readmisión para el trabajador. Ahora los trabajadores pueden ir a los juzgados de lo social a reclamar las consecuencias laborales de esta ley. El juez de lo social puede tener problemas en la valoración de ese despido, aunque las vistas ahora ya se fijan para dentro de uno o dos años”.

Otro aspecto que señala este experto es que “con esta ley tan inconcreta, sancionar a las empresas va a ser complicado. El derecho administrativo sancionador se basa en el principio de legalidad y taxatividad, que la infracción esté bien definida, pero en este caso con la ley tan interpretable a nivel sancionador tampoco es muy concreta porque esta norma no deja claro muchas cuestiones”.

Al mismo tiempo, subraya que “no se sabe el plazo de protección al informante, por analogía hay un artículo sobe la Autoridad Independiente que dice que a los dos años tendrá que revisar la situación de ese denunciante, se interpreta que en los canales de las empresas la protección debe ir a los dos años. Tampoco se sabe hasta dónde hay que protegerlo. La protección al infórmate está por desarrollar y la legislación española no concreta demasiado como hacerlo. Sera una normativa difícil de consolidar”.

Se activan los canales internos

Por su parte Diego Pol, socio de Corporate Compliance de Cuatrecasas en la oficina de Barcelona, cree que esta ley de protección al denunciante es un hito “como en su día lo fueron las reformas penales del 2010 y 2015, que incorporación la responsabilidad penal de las personas jurídicas. En ese sentido, la norma es positiva como palanca para que se incorporen sistemas de información en las empresas sino y al mismo tiempo que la llevanza de las investigaciones que hagan las empresas se harán mejor a partir de ahora”.

Desde su punto de vista, “pasamos del modelo de compliance basado en la protección, detección y la respuesta, donde el foco estuvo en la prevención y en incorporar programas de compliance a que ahora nos obliga a cómo detectamos y cómo respondemos ante un incumplimiento. Dicho esto, la ley plantea cuestiones que se pueden criticar como es el hecho de obligar a poner en manos de fiscalía si hay indicios de delito y después plantea dudas interpretativas diversas que preocupan a las empresas”.

Sobre dichas dudas, este abogado señala que “hay una relacionada con los grupos multinacionales de empresas cuya sede no está en España. La ley tiene un artículo, pero pensado para estos grupos que tengan sede en España. Ahí surgen dudas de cómo dar cumplimiento a la ley cuando tenemos un cliente extranjero con una función centralizada de compliance y quiere cumplir con la ley. Con la redacción actual de la norma surgen dudas”.

Diego Pol, socio de Corporate Compliance de Cuatrecasas en la oficina de Barcelona. (Foto: Cuatrecasas)

Al mismo tiempo, subraya “las dudas que surgen sobre la Autoridad Independiente, que aún está sin regular y eso genera disfunciones. Para este experto, está la duda que con la norma creada y sin esta Autoridad en marcha se puede acudir a la jurisdicción ordinaria, no sabemos si esto sería factible en estos momentos. Ahora es un problema porque la ley obliga al responsable interno de cada entidad a notificar a esa Autoridad, pero no puede hacerse en estos momentos”.

Desde su punto de vista, “una de las grandes novedades de esta ley es legitimar expresamente a un denunciante a que acuda a canales externos. Por eso la empresa tiene que gestionar bien su canal interno para que ese informante interponga la denuncia en dicho canal y no se vaya al externo. Ahora todo es hipotético, porque no existe este canal externo general que se crea por la puesta en marcha de esta Autoridad Independiente”.

A su juicio, “con esta ley la protección del denunciante será mayor. No será automático, pero se verá cierta progresión de dicha protección a corto y medio plazo. Eso hará que veamos un aumento de las comunicaciones internas. Ahora las empresas, que se están tomando en serio la implementación de los canales de denuncia, lo que quieren es que utilicen sus canales internos para evitar que se externalice el problema y los informantes se beneficien de un régimen sancionador severo como el que se ha implementado con esta norma”.

En su opinión, “las empresas se dan cuenta de que es difícil contar con una política que proteja al denunciante tal y como señala la ley 2/2023, pero hay que hacerlo por imperativo legal. No es fácil y hay que ir caso por caso. Se trata de definir un marco y tener una serie de mecanismos que se puedan utilizar cuando llegue ese momento donde el papel del compliance, por ejemplo, en la gestión de denuncias de acoso, tiene más importancia que antes que se llevaba por Recursos Humanos”.

Protección y relaciones laborales

Para la magistrada suplente del TSJ Laboral de Madrid, Concepción Esther Morales, estudiosa de la norma y participante en diversos seminarios de índole laboral sobre esta ley 2/2023, “a nivel laboral no parece que no haya problemas interpretativos. Los magistrados de esta jurisdicción social tenemos claro cuándo hay que aplicar la protección por represalia en nuestras sentencias. Esta ley 2/2023 es muy importante para las empresas que en muchos casos deben informar a los sindicatos de la existencia de estos canales de denuncia que deben desarrollar”.

Concepción Esther Morales, magistrada suplente del TSJ Laboral de Madrid. (Foto: Archivo)

Desde su punto de vista, “la ley obliga a contar con un canal de denuncia, con el agravante de que no tenerlo supone afrontar sanciones duras en el orden económico que pueden llegar hasta el millón de euros. Luego, al igual que los protocolos de cumplimiento normativo, la ley obliga a tener un responsable y unos protocolos de actuación claros de ese canal de denuncia. En principio, ese denunciante tiene protección ante cualquier represalia porque la finalidad de la ley es esa”.

En sus conferencias sobre estas cuestiones, esta magistrada habla sobre la utilidad de los canales de denuncia y su configuración. “Esa configuración es mejor hacerla de manera externa y luego hay que hacer las investigaciones sobre esa denuncia que parece más objetivas si se hacen de forma externa. Esa labor investigadora hay que hacerla y en función de sus resultados anunciar las acciones que la empresa hará en el plazo que marca la ley. Sobre la protección al denunciante, en la jurisdicción no social no se establecen plazos, cada caso tiene un plazo razonable”.

En cuanto a si va a mejorar la norma la protección de los denunciantes, esta magistrada cree que se llegará a ese momento. “Ahora es pronto porque no existe la Autoridad Independiente que marca la ley. Además, aún no ha llegado a los tribunales estas obligaciones que se imponen al empresario, cualquier incumplimiento podría ser objeto de denuncia. En este caso, la inspección de trabajo puede ser el vehículo en algunos casos para que el trabajador realice dicha denuncia”.

A su juicio, “es fundamental que las empresas se apliquen en la gestión de dichos canales de denuncias. Ante posibles reclamaciones de los trabajadores en los tribunales, las propias compañías pueden demostrar al juez que esos hechos ya se investigaron y quedaron archivados. Es importante esa gestión y guardar todas estas evidencias en un Libro de Registro que hay que documentarlo. La propia ley habla de los plazos que hay para esa conservación que siempre deben estar a disposición de las autoridades competentes”.